Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Microsoft Azure include strumenti per proteggere i dati in base alle esigenze di sicurezza e conformità dell'azienda. Questo articolo è incentrato su:
- Modalità di protezione dei dati inattivi in Microsoft Azure.
- I vari componenti che partecipano all'implementazione della protezione dei dati.
- I vantaggi e i compromessi dei diversi approcci di protezione della gestione chiave.
La crittografia dei dati inattivi è un requisito di sicurezza comune. Azure cripta i dati a riposo di default utilizzando chiavi gestite dalla piattaforma. Questo approccio offre alle organizzazioni la crittografia automatica senza il rischio o il costo di una soluzione di gestione delle chiavi personalizzata. Le organizzazioni possono fare affidamento su Azure per gestire la crittografia a riposo utilizzando chiavi gestite dalla piattaforma, oppure possono utilizzare chiavi gestite dal cliente quando hanno bisogno di un controllo aggiuntivo sulle chiavi di crittografia e sulle politiche di gestione delle chiavi.
Che cos'è la crittografia dei dati a riposo?
La crittografia è la codifica sicura dei dati usati per proteggere la riservatezza dei dati. La crittografia dei dati a riposo in Azure usa la crittografia simmetrica per crittografare e decrittografare rapidamente grandi quantità di dati in base a un semplice modello concettuale.
- Una chiave di crittografia simmetrica cifra i dati mentre vengono scritti nella memoria.
- La stessa chiave di crittografia decripta quei dati mentre vengono preparati per l'uso in memoria.
- Partizioni diverse possono usare chiavi differenti.
- Conserva le chiavi in una posizione sicura con politiche di controllo degli accessi e audit basate sull'identità. Se le chiavi di crittografia dei dati sono conservate al di fuori di luoghi sicuri, criptale usando una chiave di cifratura che viene conservata in una posizione sicura.
A livello pratico, gli scenari di gestione e di controllo delle chiavi, nonché le garanzie di scalabilità e disponibilità, richiedono costrutti aggiuntivi. Le sezioni seguenti descrivono i concetti e i componenti della crittografia dei dati a riposo di Microsoft Azure.
Scopo della crittografia a riposo
La crittografia a riposo protegge i dati memorizzati. Gli attacchi contro i dati a riposo includono tentativi di ottenere accesso fisico all'hardware che memorizza i dati e poi compromettere i dati contenuti. In un attacco di questo tipo, il disco rigido di un server potrebbe essere gestito erroneamente durante la manutenzione, che consente a un utente malintenzionato di rimuovere il disco rigido. L'utente malintenzionato in seguito inserisce il disco rigido in un computer sotto il controllo per tentare di accedere ai dati.
La crittografia a riposo aiuta a impedire all'attaccante di accedere a dati non criptati assicurando che i dati siano cifrati su disco. Se un utente malintenzionato ottiene un disco rigido con i dati crittografati ma non le chiavi di crittografia, l'autore dell'attacco deve decodificare la crittografia per riuscire a leggere i dati. Questo attacco è molto più complesso e richiede risorse rispetto all'accesso a dati non criptati su un hard disk. Per questo motivo, molte organizzazioni rendono la crittografia a riposo un requisito di alta priorità.
Gli sforzi di governance e conformità dei dati di un'organizzazione potrebbero anche richiedere la crittografia a riposo. Regolamenti industriali e governativi come HIPAA, PCI e FedRAMP stabiliscono specifiche tutele per la protezione dei dati e i requisiti di crittografia. Alcune di queste normative richiedono la crittografia a riposo. Per ulteriori informazioni sull'approccio di Microsoft alla validazione FIPS 140, consulta il Federal Information Processing Standard (FIPS) 140.
Oltre a soddisfare i requisiti normativi e di conformità, la crittografia dei dati inattivi rappresenta una misura di protezione e difesa avanzata. Microsoft Azure fornisce una piattaforma conforme per servizi, applicazioni e dati. Offre inoltre funzionalità complete per la sicurezza fisica e delle strutture, il controllo di accesso ai dati e il controllo. Tuttavia, è importante fornire ulteriori misure di sicurezza "sovrapposte" nel caso in cui una delle altre misure fallisca. La crittografia dei dati inattivi fornisce una misura di sicurezza di questo tipo.
Microsoft offre opzioni di crittografia a riposo su tutti i servizi cloud e dà ai clienti il controllo delle chiavi di crittografia e dei log di utilizzo delle chiavi. Microsoft sta anche lavorando per criptare di default tutti i dati dei clienti a riposo.
Opzioni di gestione delle chiavi
Azure offre due approcci principali per la gestione delle chiavi di crittografia:
Chiavi gestite dalla piattaforma (predefinite) (talvolta chiamate anche chiavi gestite dal servizio): Azure gestisce automaticamente tutti gli aspetti della gestione delle chiavi di crittografia, inclusa generazione, archiviazione, rotazione e backup. Questo approccio fornisce la crittografia dei dati inattivi senza configurazione richiesta dai clienti ed è abilitata per impostazione predefinita nei servizi di Azure. Le chiavi gestite dalla piattaforma offrono il massimo livello di praticità e non richiedono costi aggiuntivi o costi aggiuntivi per la gestione.
Chiavi gestite dal cliente (opzionali): I clienti che necessitano di un maggiore controllo sulle proprie chiavi di crittografia possono scegliere di gestire le proprie chiavi utilizzando Azure Key Vault o Azure Key Vault Managed HSM. Questo approccio consente ai clienti di controllare i cicli di vita delle chiavi, le politiche di accesso e le operazioni crittografiche. Le chiavi gestite dal cliente offrono un controllo aggiuntivo a costi maggiori di responsabilità e complessità della gestione. Per le organizzazioni con requisiti normativi o contrattuali che impongono che il materiale delle chiavi risieda fisicamente al di fuori dell'infrastruttura Microsoft, Azure Key Vault Managed HSM supporta anche la gestione esterna delle chiavi (preview), che mantiene la chiave di crittografia delle chiavi (KEK) in un modulo di sicurezza hardware (HSM) gestito dal cliente completamente fuori da Azure.
La scelta tra questi approcci dipende dai requisiti di sicurezza, dalle esigenze di conformità e dalle preferenze operative dell'organizzazione. La maggior parte delle organizzazioni può basarsi su chiavi gestite dalla piattaforma per una protezione affidabile della crittografia, mentre le organizzazioni con requisiti normativi o di sicurezza specifici potrebbero optare per le chiavi gestite dal cliente.
Componenti di crittografia dei dati a riposo di Azure
Come descritto in precedenza, la crittografia a riposo mantiene i dati persistenti sul disco criptati utilizzando una chiave segreta di cifratura. Per raggiungere questo obiettivo, i servizi Azure necessitano di creazione, archiviazione, controllo degli accessi e gestione delle chiavi di crittografia sicura. Anche se i dettagli possono variare, le implementazioni di crittografia a riposo dei servizi Azure utilizzano i termini illustrati nel diagramma seguente.
Azure Key Vault
La posizione di archiviazione delle chiavi di crittografia e il controllo dell'accesso a queste chiavi è essenziale per un modello di crittografia dei dati inattivi. È necessario proteggere in modo elevato le chiavi, ma renderle gestibili dagli utenti specificati e disponibili per servizi specifici. Per i servizi Azure, Azure Key Vault (Premium tier) o Azure Key Vault Managed HSM sono la soluzione di archiviazione delle chiavi raccomandata e offrono un'esperienza di gestione comune tra i servizi. Le chiavi vengono archiviate e gestite negli Azure Key Vaults, e puoi consentire agli utenti o ai servizi l'accesso a un Azure Key Vault. Azure Key Vault supporta chiavi create dal cliente e chiavi importate per l'uso in scenari di chiavi di crittografia gestite dal cliente.
Microsoft Entra ID
Puoi concedere ai conti Microsoft Entra i permessi di utilizzare le chiavi memorizzate in Azure Key Vault, sia per gestirle sia per accedervi a operazioni di crittografia e decrittografia.
Crittografia envelope con una gerarchia di chiavi
Si usano più chiavi di crittografia in un'implementazione di crittografia a riposo. Memorizzare una chiave di crittografia in Azure Key Vault garantisce un accesso sicuro alle chiavi e una gestione centralizzata delle chiavi. Tuttavia, l'accesso locale ai servizi alle chiavi di crittografia è più efficiente per la crittografia e la decrittografia in massa rispetto all'interazione con Key Vault per ogni operazione dati. Questo metodo consente una crittografia più forte e prestazioni migliori. La limitazione dell'uso di una singola chiave di crittografia riduce il rischio che la chiave venga compromessa e il costo della nuova crittografia quando una chiave deve essere sostituita. I modelli di crittografia a riposo di Azure utilizzano la crittografia tramite inviluppo, dove un KEK cripta una chiave di cifratura dati (DEK). Questo modello forma una gerarchia di chiavi che risponde meglio ai requisiti di prestazioni e sicurezza:
- Chiave di cifratura dati (DEK) – Una chiave simmetrica AES-256 che cifra una partizione o un blocco di dati, talvolta chiamata chiave dati. Una singola risorsa può avere molte partizioni e molti DEK. Criptare ogni blocco di dati con una chiave diversa rende più difficili gli attacchi di crittografia. Mantenere i DEK all'interno del servizio che cifra e decifra i dati massimizza le prestazioni.
- Chiave di crittografia delle chiavi (KEK) – Una chiave di crittografia che cifra le DEK tramite envelope encryption, detta anche wrapping. Usando un KEK che non esce mai da Key Vault, puoi criptare e controllare i DEK. L'entità che ha accesso alla chiave kek può essere diversa dall'entità che richiede la chiave DEK. Un'entità può negoziare l'accesso alla chiave dek per limitare l'accesso di ogni chiave DEK a una partizione specifica. Poiché il KEK è necessario per decifrare i DEK, i clienti possono cancellare crittograficamente i DEK e i dati disabilitando il KEK. Disabilitare un KEK rende inaccessibili tutti i servizi dipendenti, come database Azure SQL Transparent Data Encryption (TDE), account Archiviazione di Azure con chiavi gestite dal cliente e VM protette da Crittografia dischi di Azure. La disabilitazione riguarda anch'essa solo il deposito in cui si trova la chiave. Se la chiave è stata salvata e ripristinata in un altro vault, la copia restaurata rimane completamente funzionante e non è influenzata dall'operazione di disabilitazione. Per maggiori informazioni, vedi Considerazioni sulla sicurezza dei backup.
I provider di risorse e le istanze applicative memorizzano i DEK criptati come metadati. Solo un'entità con accesso alla chiave KEK può decrittografare queste chiavi DEK. Azure supporta diversi modelli di archiviazione delle chiavi. Per altre informazioni, vedere Modelli di crittografia dei dati.
Quando i servizi memorizzano nella cache i DEK in locale per le operazioni di crittografia attive, le chiavi memorizzate nella cache sono protette da controlli di sicurezza della piattaforma Azure, tra cui isolamento di calcolo a livello di host e protezioni a livello di processo. Le chiavi operative con cache sono un meccanismo di disponibilità e prestazioni: il KEK in Key Vault rimane la radice della fiducia, e la revoca della chiave regola l'accesso ai dati criptati.
Crittografia a riposo nei servizi cloud di Microsoft
Si usano i servizi cloud Microsoft in tutti e tre i modelli cloud: infrastruttura come servizio (IaaS), piattaforma come servizio (PaaS) e software come servizio (SaaS). Gli esempi seguenti illustrano come si adattano a ogni modello:
- I servizi software, o SaaS, forniscono applicazioni ospitate nel cloud come Microsoft 365.
- I servizi di piattaforma, o PaaS, forniscono funzionalità cloud come archiviazione, analisi e funzionalità di bus di servizio per le applicazioni clienti.
- I servizi infrastrutturali, o IaaS, ospitano sistemi operativi e applicazioni distribuiti dal cliente che possono anche utilizzare altri servizi cloud.
Crittografia dei dati inattivi per i clienti SaaS
Per i clienti SaaS (Software as a Service) in genere la crittografia a riposo è abilitata o disponibile in ogni servizio. Microsoft 365 offre diverse opzioni per i clienti per verificare o abilitare la crittografia a riposo. Per informazioni sui servizi di Microsoft 365, vedere Encryption in Microsoft 365.
Crittografia a riposo per i clienti PaaS
I clienti PaaS (Platform as a Service) in genere archiviano i dati in un servizio di archiviazione, ad esempio gestione rete virtuale di Azure. Tuttavia, i dati potrebbero anche essere memorizzati nella cache o archiviati nell'ambiente di esecuzione dell'applicazione, ad esempio una macchina virtuale. Per visualizzare le opzioni di crittografia dei dati inattivi disponibili, esaminare i modelli di crittografia dei dati per le piattaforme di archiviazione e applicazione usate.
Crittografia dei dati inattivi per i clienti IaaS
I clienti dell'infrastruttura come servizio (IaaS) possono utilizzare una varietà di servizi e applicazioni. I servizi IaaS possono abilitare la crittografia a riposo nelle loro macchine virtuali ospitate su Azure utilizzando la crittografia all'host.
Archiviazione crittografata
Come PaaS, le soluzioni IaaS possono usare altri servizi di Azure che archiviano i dati crittografati a riposo. In questi casi, puoi abilitare il supporto di crittografia a riposo che ogni servizio Azure consumato offre. I modelli di cifratura dei dati elencano le principali piattaforme di archiviazione, servizi e applicazioni, oltre al modello di crittografia a riposo supportato.
Calcolo crittografato
I dischi, istantanee e immagini gestiti di Azure sono criptati di default utilizzando la crittografia dei servizi di archiviazione e chiavi gestite dalla piattaforma. Questa crittografia predefinita non richiede alcuna configurazione del cliente o costi aggiuntivi. Una soluzione di crittografia più completa garantisce che l'host della VM non persista dati in forma non criptata. Durante l'elaborazione dei dati su una macchina virtuale, il sistema può persistere i dati nel file di paginaggio Windows o nel file swap Linux, in un dump di crash o in un registro applicativo. Per garantire che anche questi dati siano criptati a riposo, le applicazioni IaaS possono utilizzare la crittografia all'host su una macchina virtuale Azure IaaS. Di default, la crittografia a livello host utilizza chiavi gestite dalla piattaforma, ma opzionalmente puoi configurare chiavi gestite dal cliente per un controllo aggiuntivo.
Crittografia dei dati inattivi personalizzata
Quando possibile, le applicazioni IaaS dovrebbero utilizzare le opzioni di crittografia all'host e di crittografia a riposo fornite da qualsiasi servizio Azure consumato. In alcuni casi, come requisiti di crittografia irregolari o storage non basato su Azure, uno sviluppatore di un'applicazione IaaS potrebbe dover implementare la crittografia a riposo. Gli sviluppatori di soluzioni IaaS possono integrarsi meglio con la gestione di Azure e le aspettative dei clienti usando determinati componenti di Azure. In particolare, gli sviluppatori dovrebbero utilizzare Azure Key Vault per fornire uno storage sicuro delle chiavi e fornire ai clienti opzioni di gestione delle chiavi coerenti con i servizi della piattaforma Azure. Le soluzioni personalizzate dovrebbero anche utilizzare identità gestite da Azure per consentire agli account di servizio di accedere alle chiavi di crittografia. Per informazioni sugli sviluppatori, consulta la guida per sviluppatori di Azure Key Vault e le identità gestite per le risorse Azure.
supporto del modello di crittografia dei provider di risorse Azure
I servizi Microsoft Azure supportano ciascuno uno o più modelli di crittografia a riposo. Per alcuni servizi, tuttavia, uno o più modelli di crittografia potrebbero non essere applicabili. I servizi che supportano scenari di chiave gestiti dal cliente potrebbero supportare solo un sottoinsieme dei tipi di chiave supportati da Azure Key Vault per le chiavi di crittografia delle chiavi. I servizi potrebbero anche rilasciare il supporto per questi scenari e tipi di chiavi in tempi diversi. Questa sezione descrive l'attuale supporto della crittografia a riposo per ciascun importante servizio di archiviazione dati Azure.
crittografia del disco della macchina virtuale Azure
I clienti che utilizzano funzionalità Azure Infrastructure as a Service (IaaS) possono criptare i loro dischi VM IaaS a riposo tramite la crittografia dell'host. Per altre informazioni, vedere Crittografia nell'host - Crittografia end-to-end per la macchina virtuale.
Archiviazione di Azure
Tutti i servizi Archiviazione di Azure (gestione rete virtuale di Azure, Queue Storage, Table Storage e File di Azure) supportano la crittografia lato server a riposo. gestione rete virtuale di Azure e Queue Storage supportano anch'essi la crittografia lato client attuale.
- Lato server (predefinito): Tutti i servizi Archiviazione di Azure abilitano automaticamente la crittografia lato server di default utilizzando chiavi gestite dalla piattaforma. Questa crittografia è trasparente per l'applicazione e non richiede alcuna configurazione. Per ulteriori informazioni, vedere la crittografia di Archiviazione di Azure per i dati inattivi. Facoltativamente, i clienti possono scegliere di usare chiavi gestite dal cliente in Azure Key Vault per un controllo aggiuntivo. Per altre informazioni, vedere Chiavi gestite dal cliente per la crittografia di archiviazione di Azure.
- Lato client (opzionale): Le librerie client di gestione rete virtuale di Azure e Queue Storage supportano la crittografia lato client per i clienti che devono criptare i dati prima che raggiungano Azure. Quando si utilizza la crittografia lato client, i clienti criptano i dati e li caricano come dati criptati. Il cliente gestisce le chiavi. Per ulteriori informazioni, vedi Crittografia lato client per i blob e Crittografia lato client per le code.
database SQL di Azure
database SQL di Azure supporta la crittografia a riposo per la crittografia lato servizio utilizzando chiavi gestite dalla piattaforma e per scenari di crittografia lato client.
Azure SQL fornisce la crittografia lato server tramite Transparent Data Encryption. Per il service managed TDE, Azure crea e gestisce automaticamente le chiavi. È possibile abilitare la crittografia dei dati inattivi a livello di database e server. Transparent Data Encryption (TDE) è abilitato di default nei database appena creati. Azure SQL supporta protector TDE asimmetrici RSA o RSA-HSM gestiti dal cliente, a 2048 e 3072 bit, in Azure Key Vault o Azure Key Vault Managed HSM. Per altre informazioni, vedere Transparent Data Encryption di Azure SQL con chiave gestita dal cliente.
database SQL di Azure supporta la crittografia lato client tramite la funzione Always Crypted. Always Encrypted usa una chiave creata e archiviata dal client. I clienti possono memorizzare la chiave principale in un archivio certificati Windows, Azure Key Vault o in un HSM locale. Gli utenti SQL possono utilizzare SQL Server Management Studio per scegliere la chiave che cripta ogni colonna.
Conclusione
La protezione dei dati dei clienti memorizzati all'interno dei servizi Azure è importante per Microsoft. I servizi ospitati su Azure offrono opzioni di crittografia a riposo. I servizi Azure supportano chiavi gestite dalla piattaforma, chiavi gestite dal cliente o crittografia lato client. I servizi Azure continuano a migliorare la disponibilità di crittografia a riposo.
Passaggi successivi
- Per altre informazioni sulle chiavi gestite dalla piattaforma e sulle chiavi gestite dal cliente, vedere Modelli di crittografia dei dati .
- Informazioni su come Azure usa la crittografia double per attenuare le minacce fornite con la crittografia dei dati.
- Scopri cosa fa Microsoft per garantire l'integrità e la sicurezza della piattaforma degli host che attraversano le pipeline di costruzione di hardware e firmware, l'integrazione, l'operazionalizzazione e la riparazione.